宽带接入网还是比较常用的，于是我研究了一下IP宽带接入网的电信级管理，在这里拿出来和大家分享一下，希望对大家有用。以太网原来是为局域网企事业用户内部应用设计的，缺乏安全机制保证。即便有需求也是由高层协议来处理。以太网也不能像SDH那样分离网管信息和用户信息，安全性不如SDH网。当扩展到MAN和WAN以后，将有大量的终端用户由同一个基础设施提供服务时，上述利用高层协议的处理方法就无法接受了，需要开发新的安全和加密机制。

宽带接入网中的安全需求主要来源于两方面，其一是设备本身的安全，其二是网络的安全。宽带接入网中的以太设备，首先要考虑网管层面的安全，另一方面，虽然大多数DDOS攻击是面向三层设备的，但各种Proxy/Snooping类的协议同样可能成为DDOS攻击的牺牲品，所以这类协议的安全特性也同样重要。

在网络安全性方面，宽带接入网要尽可能地阻止ARP/ICMP/MAC攻击的进入、防止网络广播风暴的发生，过滤蠕虫病毒数据帧，防止非法窃听。在这些方面，目前有VLAN/QinQ隔离、MAC绑定、MAC数量限制、广播/ICMP抑制、MAC/IP/L4过滤、SSHv2加密/SNMPv3安全访问、VLANJump等特性可用。

在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是运营商网络中的交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使运营网络稳定运行，ISCOM系列交换机上应用了一些安全防范技术，有效地启用和配置这些技术，净化局域网环境。

电信级管理

以太技术本身不是为运营级别网络设计的，在一些方面不具备运营级别网络应该有的特性。原来用于局域网的以太网技术难以提供端到端的业务管理、故障检测和性能监视，主要采用基于IP的OAM协议，例如SNMP、IP ping和IP traceroute等来部分提供这些功能，但是局域网的以太网OAM技术一方面仅能提供诸如可达性等简单的管理，不能提供基于整个网络的各种必须的运维手段;另一方面是这些简单管理也必须在以太网层工作正常时运行，一旦以太网层本身出了故障就无法进行管理和维护了。

瑞斯康达作为一家面向运营商的以太网设备供应商，在ISCOM 系列交换机上不仅实现了基于链路的 802。3ah OAM，而且也实现了基于域的802。1ag OAM，弥补原有以太网在此方面的不足，增强其在连接监视、故障定位、告警指示和性能管理等方面的OAM能力，从而完善其对网络、设备和业务的管理与控制，满足运营商建设可运营、可管理、可盈利网络的要求，

在ISCOM系列交换机上，通过OAM功能的部署，可以帮助运营商用户定位故障，区分故障到底在最终用户(如专网用户)，还是业务提供商，或者网络运营商，从而使各个组织的管理维护范围、责任界限更加清晰，当用户上报故障后，服务提供商可以快速、准确的排除故障，这样，将使庞大的运营网管理起来更加简单、更加有效!